Latar Belakang
Saya merancang pengaturan server untuk bisnis kecil tempat saya bekerja. Kami ingin dapat meng-host server web kami sendiri dan layanan lainnya di masa depan di lokasi kami sendiri.
Menjadi orang IT / orang jaringan / guru teknologi umum, saya belajar untuk menjadi dongkrak dari semua perdagangan. Sayangnya, saya memiliki sedikit pengalaman dengan jaringan, tapi saya belajar dan itu menarik.
Saya telah membaca di jaringan dan saya percaya bahwa saya memiliki pemahaman yang cukup kuat tentang apa yang terjadi dengan jaringan kami. Saya memahami prinsip-prinsip penerusan port dan gagasan bahwa router dapat digunakan sebagai cara untuk memblokir koneksi masuk ke layanan. Saya juga sudah menjalankan dan menjalankan server web berbasis Nginx, meskipun saya belum tahu cara menghubungkannya ke Internet.
Juga, kami tidak benar-benar memiliki anggaran untuk peralatan baru, jadi saya puas dengan banyak peralatan jaringan rumah yang kami miliki. Jika ini benar-benar tidak cukup, beri tahu saya, tetapi saya berasumsi bahwa itu akan berhasil.
Berikut gambar singkat dari pengaturan saat ini:
Mulai dari atas, garis hitam tebal (mewakili koneksi data gedung, Comcast) dipecah menjadi internet di modem. Tidak ada ethernet di dinding yang diatur di sini - bisnis kami menggunakan wi-fi sebagai metode penggunaan internet. Jadi router wi-fi terhubung langsung ke modem, karena itu adalah satu-satunya perangkat di tingkat atas. Router wi-fi melayani internet untuk penggunaan sehari-hari.
Deskripsi Masalah
Keamanan
Saya mencoba untuk mendapatkan server web agar aman dijauhkan dari sisa jaringan. Jika server dikompromikan, maka saya tidak ingin itu mempengaruhi komputer yang kami gunakan untuk pekerjaan sehari-hari.
Efisiensi
Saya tidak ingin menyebabkan jaringan "sehari-hari" menjadi terlalu lambat dengan menambahkan server. Saya juga tidak ingin server menjadi sangat lambat karena tata letak jaringan.
Mempersiapkan
Seperti apa seharusnya alamat IP, subnet mask, dan koneksi untuk setiap router?
Solusi
Ini adalah solusi pertama yang saya temukan. Menggunakan switch workgroup, saya ingin memberikan kedua posisi router tingkat atas. Router server akan meneruskan TCP port 80 (http).
Cons:
- Saya tidak bisa mulai bekerja. Saya berasumsi ini karena kedua router berusaha untuk mendapatkan IP publik yang ditugaskan oleh Comcast yang sama dari modem. Entah bagaimana router jaringan bisnis akan berfungsi dengan baik dalam pengaturan ini, tetapi router lainnya tidak akan memperbarui / melepaskan alamat IP atau memberikan koneksi internet keluar (dengan alasan DNS gagal). Meskipun saya mencoba memberikan setiap alamat IP router yang berbeda (satu 192.168.1.1, satu 192.168.2.1), itu tidak menyelesaikan masalah.
Pro:
- Keamanan bagus. Jika server dikompromikan, itu tidak bisa masuk ke jaringan bisnis. Paling buruk, itu bisa mengendus lalu lintas dari luar, tapi saya tidak yakin apakah ini mungkin.
- Efisiensi bagus. Setiap jaringan hanya diperlambat oleh switch workgroup.
Ini adalah solusi berikutnya yang saya temukan. Ini adalah pengaturan gaya DMZ yang memungkinkan server berada di luar jaringan bisnis tetapi masih melayani HTTP.
Cons:
- Dalam Solusi A, saya dapat mengacaukan router server dan tidak akan ada konsekuensi untuk bisnis sehari-hari. Tetapi dalam metode ini, jika saya mengacaukan konfigurasi router server, itu berarti masalah bagi semua orang.
- Efisiensi buruk. Jaringan bisnis harus melalui dua router untuk sampai ke Internet.
- Keamanan server buruk. Jika salah satu komputer bisnis dikompromikan, itu dapat merusak server.
Pro:
- Keamanan jaringan bisnis yang baik. Server, jika dikompromikan, tidak bisa sampai ke komputer lain.
- Menangani IP publik dengan benar. Solusi ini menggunakan router sebagai item tingkat atas, yang berarti dapat menggunakan DHCP untuk menetapkan alamat IP, yang tidak dimiliki oleh switch jaringan.
Solusi ini mirip dengan solusi pertama, tetapi router digunakan sebagai ganti saklar untuk memberikan penanganan IP yang tepat.
Cons:
- Efisiensi buruk. Kedua jaringan harus melalui 2 router untuk mendapatkan internet.
Pro:
- Keamanan bagus. Tidak ada jaringan yang bisa langsung ke yang lain. Dalam kasus terburuk, saya kira lalu lintas mengendus dapat terjadi (tidak yakin).
- Menangani IP publik dengan benar. Solusi ini memiliki perangkat tingkat atas yang dapat menggunakan DHCP untuk memilah alamat IP.
Intinya
Saya tidak yakin solusi mana yang paling berhasil. Apakah ada solusi yang lebih baik yang belum saya pikirkan?
Saya juga tidak yakin bagaimana mengatur solusi terbaik sehingga melayani internet dengan benar dan aman untuk setiap jaringan. Apa yang harus saya lakukan dengan alamat IP, port terbuka, dan subnet mask untuk setiap router?
Catatan: Saya tahu Server Fault memiliki toleransi yang rendah untuk pertanyaan yang menggunakan perangkat keras jaringan rumah. Itulah satu-satunya alasan saya diposting di sini - saya ingin pertanyaan saya dijawab dan saya tidak ingin bermain politik. Jika ini adalah situs yang salah, saya akan sangat menghargai jika Anda dapat memindahkannya ke lokasi yang benar. Terima kasih.
Jawaban:
Pergi dengan 3 pilihan yang Anda tawarkan, B adalah yang terbaik (IMO), karena membuat server pada jaringan perimeter, dan router internal firewall jaringan bisnis internal Anda dari jaringan perimeter (sehingga server tidak dapat mengakses jaringan bisnis ), saat menggunakan peralatan paling sedikit.
Jawaban "nyata" (sekali lagi, IMO):
sumber